Upload
gledyjohana
View
214
Download
0
Embed Size (px)
Citation preview
UNIVERSIDAD NACIONAL DE PIURA
FACULTAD DE INGENIERIA INDUSTRIAL
ESCUELA PROFESIONAL DE INGENIERIA INFORMÁTICA
• TEMA: POLITICAS DE SEGURIDAD.
• CURSO: SEGURIDAD INFORMATICA.
• DOCENTE: ING.WILFREDO CRUZ YARLEQUE.
• INTEGRANTES:
- CASTRO SILVA WILLIAM
- CHUQUIHUANGA ABAB GLEDY
- HERNANDEZ RAMIREZ MIJAIL
PIURA-PERÚ
2014
Índice
INTRODUCCION 1
1. POLITICAS DE SEGURIDAD INFORMATICA 2
2. OBJETIVOS 3
2.1 Objetivo Principal 3
2.2 Objetivos Específicos 3
3. ELEMENTOS DE UNA POLÍTICA DE SEGURIDAD INFORMÁTICA 3
4.DOCUMENTOS DE REFERENCIA 4
5. SITUACION DE LA SEGURIDAD INFORMÁTICA 5
6. PARÁMETROS PARA ESTABLECER POLÍTICAS DE SEGURIDAD 5
7. POLÍTICAS Y CONDICIONES De OPERACIÓN 5
7.1. Control de Acceso a la Información 5
7.1.1 Generalidades 5
7.1.2 Prohibiciones 6
7.2. Uso del correo interinstitucional 7
7.2.1 Generalidades 7
7.2.2 Prohibiciones 8
7.3. Uso de las Redes e Internet 8
7.3.1 Generalidades 8
7.3.2 Prohibiciones 9
7.4. Infraestructura de la Red 10
7.4.1 Generalidades 10
7.4.2 Prohibiciones 10
7.5. Uso de los Equipos de Cómputo y el Procesamiento de la Información 11
7.5.1 Generalidades 11
7.5.2 Prohibiciones 11
7.6. Administración de Servidores 12
7.6.1 Generalidades 12
7.6.2 Prohibiciones 12
8. Conclusiones 13
9. Linkografía 13
Seguridad Informática 2014-II
Políticas de Seguridad
1
INTRODUCCION
La información es un recurso que, como el resto de los activos, tiene valor para el Grupo
Empresarial Álvarez Bohl y por consiguiente debe ser debidamente protegida, garantizando la
continuidad de los sistemas de información, minimizando los riesgos de daño y contribuyendo de
esta manera, a una mejor gestión de la entidad empresarial.
Para que estos principios de la Política de Seguridad de la Información sean efectivos, resulta
necesaria la implementación de una Política de Seguridad de la Información que forme parte de la
cultura organizacional de la entidad, lo que implica que debe contarse con el manifiesto
compromiso de todos los funcionarios de una manera u otra vinculados a la gestión, para
contribuir a la difusión, consolidación y cumplimiento.
Así mismo, con el propósito de que dicha implementación pueda realizarse en forma ordenada y
gradual.
Seguridad Informática 2014-II
Políticas de Seguridad
2
1) POLITICAS DE SEGURIDAD INFORMATICA
"Las políticas de seguridad informática tienen por
objeto establecer las medidas de índole técnica y
de organización, necesarias para garantizar la
seguridad de las tecnologías de información
equipos de cómputo, sistemas de información,
redes (Voz y Datos)) y personas que interactúan
haciendo uso de los servicios asociados a ellos y se
aplican a todos los usuarios de cómputo de las
empresas.”
Seguridad Informática 2014-II
Políticas de Seguridad
3
2) OBJETIVOS
2.1) Objetivo Principal
Propender que los servicios tecnológicos y de comunicaciones se ofrezcan con calidad,
confiabilidad, integridad, disponibilidad y eficiencia, optimizando y priorizando su uso para
asegurar su correcta funcionalidad y brindando un nivel de seguridad óptimo.
2.2) Objetivos Específicos
a) Controlar el ancho de banda los canales de comunicación y la disponibilidad de espacio
en disco en el servidor de archivos.
b) Disminuir las amenazas a la seguridad de la información y los datos.
c) Evitar el comportamiento inescrupuloso y uso indiscriminado de los recursos.
d) Cuidar y proteger los recursos tecnológicos de la entidad en cuestión.
e) Concientizar a la comunidad sobre la importancia del uso racional y seguro de la
infraestructura informática, sistemas de información, servicios de red y canales de
comunicación.
3) ELEMENTOS DE UNA POLÍTICA DE SEGURIDAD INFORMÁTICA
Como una política de seguridad debe orientar las decisiones que se toman en relación con la
seguridad, se requiere la disposición de todos los miembros de la empresa para lograr una
visión conjunta de lo que se considera importante.
Las Políticas de Seguridad Informática deben considerar principalmente los siguientes
elementos:
� Alcance de las políticas, incluyendo facilidades, sistemas y personal sobre la cual aplica.
� Objetivos de la política y descripción clara de los elementos involucrados en su definición.
� Responsabilidades por cada uno de los servicios y recursos informáticos aplicado a todos
los niveles de la organización.
Seguridad Informática 2014-II
Políticas de Seguridad
4
4) DOCUMENTOS DE REFERENCIA
� Seguridad en la información ISO/IEC 27001
� Ley n° 30171 Y los artículos del cual nos ampararemos legalmente.
Seguridad Informática 2014-II
Políticas de Seguridad
5
5) SITUACION DE LA SEGURIDAD INFORMÁTICA
� Requerimientos mínimos para configuración de la seguridad de los sistemas que abarca el
alcance de la política.
� Definición de violaciones y sanciones por no cumplir con las políticas.
� Responsabilidades de los usuarios con respecto a la información a la que tiene acceso.
6) PARÁMETROS PARA ESTABLECER POLÍTICAS DE SEGURIDAD
Es importante que al momento de formular las políticas de seguridad informática, se
consideren por lo menos los siguientes aspectos:
� Efectuar un análisis de riesgos informáticos, para valorar los activos y así adecuar las
políticas a la realidad de la empresa.
� Comunicar a todo el personal involucrado sobre el desarrollo de las políticas, incluyendo
los beneficios y riesgos relacionados con los recursos y bienes, y sus elementos de
seguridad.
� Identificar quién tiene la autoridad para tomar decisiones en cada departamento, pues son
ellos los interesados en salvaguardar los activos críticos en su área.
� Monitorear periódicamente los procedimientos y operaciones de la empresa, de forma
tal, que ante cambios las políticas puedan actualizarse oportunamente.
� Detallar explícita y concretamente el alcance de las políticas con el propósito de evitar
situaciones de tensión al momento de establecer los mecanismos de seguridad que
respondan a las políticas trazadas.
7) POLÍTICAS Y CONDICIONES DE OPERACIÓN
7.1) Control de Acceso a la Información
7.1.1) Generalidades
El acceso a los recursos de información que provee la entidad, tales como internet,
sistemas de información y redes avanzadas es suministrado a los usuarios de la
entidad como herramientas de soporte para obtener la información necesaria para
realizar de manera óptima sus actividades mediante el uso de herramientas
tecnológicas de punta, para lo cual debe cumplirse con los siguientes aspectos:
Seguridad Informática 2014-II
Políticas de Seguridad
6
a) Todo tipo de información que provenga, sea transmitida o recibida por un
sistema computacional de comunicación es considerada parte de los registros
oficiales de la entidad empresarial y, por ende, está sujeta a cumplir las normas y
restricciones consignadas en este documento. Como consecuencia de esto, el
usuario, deberá siempre asegurarse que la información contenida en los mensajes
de e-mail y en otras transmisiones es precisa, apropiada, ética y constructiva.
b) Los equipos, servicios, y tecnologías proporcionadas a los usuarios para hacer
uso del Internet son en todo momento propiedad de la entidad. Por este motivo,
la esta misma se reserva el derecho a monitorear el tráfico de Internet, y retirar,
leer o verificar cualquier documento enviado o recibido a través de conexiones en
línea y que sea guardado en los computadores de dicho lugar.
7.1.2) Prohibiciones
Está prohibido a los usuarios de los sistemas de información de la Empresa,
realizar las siguientes acciones:
a) El acceso físico y/o manipulación de los servidores, switches, routers, antenas,
puntos y elementos activos de red y las bases de datos que almacenan
información privilegiada y transacciones propias de la entidad. Estas acciones
serán realizadas única y exclusivamente por el personal de la Oficina de
Informática AUTORIZADO para realizar estas labores.
b) El ingreso físico al centro de cómputo principal y demás centros de
comunicaciones. Excepto para el personal de la Oficina de Informática autorizado
para tal fin.
c) Redactar, Transmitir, accesar o recibir vía Internet, haciendo uso de las redes o
equipos de cómputo de la entidad información con contenido que pudiera ser
discriminatorio, ofensivo, obsceno, amenazante, intimidante o destructivo para
cualquier individuo u organización. Ejemplos de contenido inaceptable incluyen,
entre otros, comentarios en general o imágenes con contenido sexual,
discriminación racial, otro tipo de comentarios o imágenes que pudieran ofender a
algún individuo con base en su raza, edad, orientación sexual, creencias religiosas,
orientación política, nacionalidad, limitaciones físicas o cualquier otra
característica especial protegida por la ley.
d)El acceso físico o lógico a los servidores, switches, routers, antenas, puntos y
elementos activos de red y las bases de datos que almacenan información
privilegiada y transacciones propias de la entidad mediante el uso de herramientas
lógicas tales como programas de computación que pudieran ocasionar daños
Seguridad Informática 2014-II
Políticas de Seguridad
7
permanentes en la información allí almacenada.
7.2) Uso del correo interinstitucional
7.2.1) Generalidades
Para acceder a la cuenta de correo empresarial que establezca la entidad los
usuarios deberán hacerlo a través de su plena identificación y utilizando la
contraseña correspondiente. Las cuentas de los usuarios cumplirán con los
siguientes aspectos:
a) Los usuarios deben utilizar la dirección de correo asignada por la entidad única y
exclusivamente para enviar/recibir mensajes de correo electrónico relacionados
con asuntos laborales.
b) Revisar el correo electrónico es de carácter obligatorio ya que estos han
reemplazado para muchos efectos la papelera de entrada.
c) Las cuentas de correo son personales e intransferibles. El propietario de la
cuenta es el UNICO responsable de la privacidad de la clave de acceso a su cuenta,
cualquier acción efectuada desde ésta cuenta será atribuida a dicho propietario.
d) Los correos masivos institucionales que por necesidades específicas de un área
requieran ser enviados a toda la comunidad Organizacional deben ser solicitados a
la Oficina de Informática y autorizados por la misma.
e) La apertura de archivos adjuntos debe hacerse siempre y cuando se conozca
con claridad el remitente y el asunto. Es responsabilidad del usuario el cuidado de
ejecutar archivos de fuentes desconocidas, o ciertos archivos como fotos o
imágenes reenviadas vía email.
f) Los usuarios de los correos electrónicos Organizacional que adjunten
documentos que no son propios deberán citar siempre la fuente de origen con la
finalidad de respetar los derechos de propiedad intelectual.
g) La Entidad Empresarial a través de la Oficina de Informática se reserva el
derecho de monitorear las cuentas que presenten un comportamiento sospechoso
para su seguridad.
h) La creación de los correos electrónicos institucionales es responsabilidad de la
Oficina de Informática quien define los nombres, estructura y plataforma que se
utilizará.
Seguridad Informática 2014-II
Políticas de Seguridad
8
7.2.2) Prohibiciones
Está prohibido a los usuarios del correo organizacional, realizar las siguientes
acciones:
a) El uso de cuentas ajenas, así como la sesión de la cuenta propia a terceros.
b) Iniciar o reenviar mensajes encadenados o el envío de correo masivo.
c) Uso de seudónimos y envió de mensajes anónimos.
d) Envió de mensajes que atenten contra la dignidad humana y las garantías
fundamentales.
e) Usar el correo corporativo para fines personales, comerciales, publicitarios,
religiosos o políticos.
f) Generar o enviar correos electrónicos a nombre de otra persona o
suplantándola.
g) Enviar archivos adjuntos de tamaño mayor a 5 MB y/o archivos ejecutables.
7.3) Uso de las Redes e Internet
7.3.1) Generalidades
La Internet es el método más común de contagio y de riesgo informático que una
compañía puede enfrentar. Es por esto que deben seguirse las siguientes acciones
para proteger la integridad de la información y los sistemas y proteger el ancho de
banda con que cuenta la entidad empresarial:
a) El internet de la organización, únicamente puede ser usado con fines
EMPRESARIALES.
b) El Internet organizacional debe emplearse como una herramienta para
investigación, desarrollo, consulta y comunicación de actividades relacionadas con
los procesos de la empresa.
c) El Internet de la entidad puede llegar a tener fines didácticos permitiéndole a los
usuarios tomar cursos de capacitación por Internet en temas que enriquezcan su
labor dentro de la organización.
d) El Internet es el medio de difusión de la página Web de la entidad y por lo tanto
toda la comunidad empresarial tendrá acceso a ella.
Seguridad Informática 2014-II
Políticas de Seguridad
9
e) Se restringe el uso e instalación sin previa autorización de la Oficina de
Informática, de programas de Chats tales como: movistar chat, tuenti, Facebook,
twitter o Similares, excepto los autorizados para chat interno. En adelante, para
que este servicio sea instalado en algún equipo, los jefes de área/facultad deberán
pasar la solicitud a la Oficina de Informática explicando los motivos por lo que
necesitan este tipo de sistemas en sus áreas.
f) Se restringe el acceso a las redes sociales Facebook, twitter, tuenti o similares en
los horarios de 6:00 A.M. a 12:00 P.M. y de 2:00 P.M. a 9:00 P.M.
7.3.2) Prohibiciones
Está prohibido a los usuarios de la red e internet de la organización, realizar las
siguientes acciones:
a) Ingresar a páginas de dudoso contenido o autoría.
b) El acceso a sitios pornográficos, sitios religiosos dedicados a difundir las
creencias de alguna religión o secta en particular, acceso a sitios web de alzados
en armas o de grupos terroristas a nivel nacional o internacional dedicados a
difundir temas relacionados con violencia.
c) Utilizar el canal de conexión a Internet para descargar e instalar música, videos y
archivos ejecutables mediante programas tales como whatsapp, Ares, tube catcher
y similares.
d) Bajar programas (software), sin la debida autorización de la Oficina de
Informática, tales como: Shareware, Freeware, software de evaluación, etc.
Archivos de música (MP3, WAV, etc.) ya que estos no poseen licencia para su uso
en la entidad.
e) Usar el Internet para realizar llamadas internacionales (Dialpad, NET2PHONE,
FREEPHONE, etc.).
Seguridad Informática 2014-II
Políticas de Seguridad
10
7.4) Infraestructura de la Red
7.4.1) Generalidades
La entidad cuenta con la infraestructura de red que comprende todo el cableado,
switches, routers, antenas y sistemas inalámbricos que permiten realizar la
conexión.
La Oficina de Informática definirá el manejo de la infraestructura de la red
dependiendo de las necesidades del servicio, con el fin de mantenerla y utilizar de
la mejor forma los recursos existentes.
a) Pruebas de Chequeo de Vulnerabilidades: La Oficina de Informática realizara
estudios periódicos a la red para evaluar la vulnerabilidad de la misma.
b) Para efectos de realizar mantenimiento de la red y seguridad, la Oficina de
Informática, podrá monitorear equipos, sistemas y tráfico de red en cualquier
momento.
7.4.2) Prohibiciones
Está prohibido a los usuarios de la red e infraestructura tecnológica de la entidad
empresarial, realizar las siguientes acciones:
a) Utilizar la infraestructura de tecnología de información y redes de la
organización para conseguir o trasmitir material con ánimo de lucro excepto
cuando se trate de cumplir con fines institucionales; igualmente está prohibido su
utilización para hacer algún tipo de acoso, difamación, calumnia o cualquier forma
de actividad hostil en contra de miembros de la comunidad organizacional y en
general de cualquier persona o empresa.
b) Ejecutar cualquier herramienta o mecanismo de monitoreo de la red de manera
no autorizada.
c) Burlar los mecanismos de seguridad, autenticación, autorización o de auditoría
de cualquier servicio de red, aplicación, servidor o cuenta de usuario.
d) Desconectar o manipular los elementos de red tales como swtiches, routers,
antenas, racks y demás elementos pertenecientes a la infraestructura de red de la
entidad.
e) Modificar la configuración de red establecida en los equipos de cómputo de
cualquier dependencia o sala.
Seguridad Informática 2014-II
Políticas de Seguridad
11
7.5) Uso de los Equipos de Cómputo y el Procesamiento de la Información
7.5.1) Generalidades
La información almacenada y el manejo de las estaciones de trabajo o los equipos
portátiles de la entidad deberán cumplir con las siguientes pautas:
a) Los equipos asignados a cada uno de los usuarios de la entidad se consideran
propiedad de la institución y por lo tanto, esta última es la encargada de decidir las
aplicaciones que se han de manejar en cada equipo, la instalación o desinstalación
de aplicaciones de software por parte de usuarios queda restringida mediante esta
política.
b) El uso de los recursos informáticos debe limitarse única y exclusivamente a fines
institucionales.
c) Todas y cada una de las máquinas de la entidad se encuentran trabajando en
red y deben ser validadas por un dominio.
d) Cada usuario es el único responsable de la administración y el buen uso de su
nombre de usuario y contraseña de red y por lo tanto, será responsable de las
acciones realizadas por terceros quienes conozcan su clave de ingreso a las redes
corporativas.
7.5.2) Prohibiciones
Con respecto al almacenamiento de información:
a) Almacenar información de índole personal como videos, fotos, música entre
otros.
b) El uso de equipos, redes, espacio en servidor, impresoras, entre otros para
almacenar o realizar labores de índole personal.
c) Alterar o copiar un archivo perteneciente a otro Usuario sin el previo
consentimiento del dueño del archivo.
Seguridad Informática 2014-II
Políticas de Seguridad
12
7.6) Administración de Servidores
7.6.1) Generalidades
La administración de los servidores de la entidad empresarial debe cumplir con los
siguientes criterios:
a) Los servidores deben tener un esquema de copias de respaldo y recuperación
para casos de desastre.
b) Los servidores deben tener un esquema para mantener registros digitales de
acceso y operación.
c) Los administradores de servidores son responsables de cumplir todas las
políticas, la Oficina de Informática debe realizar revisiones periódicas a los mismos
con la finalidad de mejorar la seguridad o detectar fallas.
7.6.2) Prohibiciones
Está prohibido a los usuarios de la tecnología de procesamiento de información y
redes de la entidad empresarial lo siguiente:
a) Violación de los derechos de cualquier persona o institución protegidos por
derechos de autor, patentes o cualquier forma de propiedad intelectual.
b) Realizar copia no autorizada de material protegido por derecho de autor que
incluye, pero no está limitado a, digitalización y distribución de imágenes y
fotografías de cualquier origen, música, audio, video, distribución o instalación de
software sin licencia ni autorización de la organización.
c) Exportar software o información técnica sin la autorización expresa de la
entidad.
d) Introducir software malicioso en la red o en los servidores (virus, Worms,correo
no deseado, spam, etc).
e) Revelar la clave o contraseña de sus cuentas de los sistemas de información de
la organización a otros, o permitir su uso a terceros para actividades ajenas a la
misión institucional.
f) Proporcionar información confidencial a personas o entidades sin la debida
autorización o violando las políticas sobre manejo de la información confidencial.
Seguridad Informática 2014-II
Políticas de Seguridad
13
8) CONCLUSIONES
Para llevar a cabo la implementación de las políticas de seguridad es necesario tener bien en
claro las políticas, leyes y artículos legales al igual que los estándares internacionales(IEEE); los
cuales nos brindaran una visión detallada respecto a lo que se puede restringir y el nivel de
libertad que se le dará al usuario .
Para poder ejecutar las políticas antes mencionadas es necesaria y de gran relevancia la
autorización del representante legal de la entidad empresarial en cuestión, con el fin de evitar
imprevistos legales.
9) LINKOGRAFÍA
� http://www.aec.es/c/document_library/get_file?uuid=a89e72de-d92b-47cf-ba5e-
5ea421fcbeb4&groupId=10128.
� http://www.leyes.congreso.gob.pe/Documentos/Leyes/30171.pdf.
� http://www.segu-info.com.ar/articulos/67-ieee-standares-802-2.htm
� http://www.expresionbinaria.com/la-seguridad-de-informacion-tratada-en-capas/